西科分布式网络信息安全系统(技术白皮书).

精品资料西科分布式网络信息安全系统 技术白皮书陕西西科电子信息科技有限公司 二零零九年九月目 录1 开发背景 . . 21.1内网信息安全分析 . 2 1.2内网信息失泄密途径及防护措施 . 32 西安分布式网络信息安全系统 . . 42.1产品设计目标 . 4 2.2产品设计原则 . 5 2.3产品组成 . . 5 2.3.1 端口控制系统(Safe Port . . 5 2.3.2 网络控制系统(Safe Net . . 7 2.3.3 资源管控系统(Safe Reso . . 9 2.3.4 内网信息审计(Audit . . 103 产品功能 . . 113.1信息的防泄漏 . 11 3.2外部设备接口管理 . 11 3.3网络控制 . . 11 3.4内网管控与审计系统 . 124 产品特点 . . 124.1集中管理、分布防护 . 12 4.2内部系统信息防护体系 . 12 4.3内部安全策略管理机制 . 12 4.4系统自身安全保障体系 . 125 体系结构 . . 126 工作原理 . . 137 运行环境 . . 148 良好的兼容性与稳定性 . . 149 相关核心技术简介 . . 149.1网络控制技术 . 14 9.2隐藏与反跟踪技术 . 14 9.3端口控制与保护技术 . 14 9.4W INDOWS 内核嵌入技术 . 141 开发背景1.1 内网信息安全分析随着信息技术的高速发展,计算机信息系统在中国众多重要部门和领域得到广泛的应 用,它对于中国政治、经济、军事、文化等社会各层面都产生了深远的积极影响。但是与 此同时,中国计算机信息安全存在的问题也十分突出,计算机泄密、窃密事件不断发生, 给国家、军队、企业造成巨大的损失。 根据美国联邦安全局的资料显示, 80%以上的信息安全问题来自内部用户窃密或泄密, 在计算机安全事件中信息泄露造成的经济损失连续 5年排在第一位。随着信息化建设的进 一步深化,内部网络数据安全成为计算机信息安全更为关键的领域。它关注的对象不仅仅 包括外部网络的所有用户,也包括了更可能引起信息安全威胁的内部网络用户。我国相关部门统计,结果显示与美国信息安全情况类似。惊人的结论: 1.2 内网信息失泄密途径及防护措施其泄漏方式及途径主要有以下几个方面:1、受到黑客、病毒攻击,信息被篡改、窃取等;2、计算机硬盘、笔记本电脑被盗;3、外出携带笔记本电脑、 U 盘等存储介质丢失;4、内部人员有意无意在网上传输重要信息;5、内部人员非法拷贝窃取重要信息等。主要的信息安全威胁:内部安全问题解决外网安全系统主要防止黑客攻击,以及由此造成的系统破坏、信息被盗,其核心是要 防止黑客入侵。内网信息安全系统除了要防止内部黑客攻击外,更主要的是对内部数据进 行安全保护。其各自保护的技术措施如下图 1-1所示。安全威胁 人为因素 自然灾害 恶意攻击 非恶意攻击 外部攻击者内部攻击者 例如:黑客、 罪犯、竞争对手例如:对单位不满 的人员例如:无知的疏忽 例如:洪灾、大火、地震 龙卷风 图 1-1 2 西科分布式网络信息安全系统2.1 产品设计目标信息安全专家将内网计算机信息安全归纳为以下七个问题:如何防止非法人员进入服务器及用户终端窃取信息?如何防止内部人员有意或无意拷走信息?如何防止因存贮介质丢失或被盗造成信息泄漏?如何控制内部人员利用互联网发送信息?如何保证内部信息传输的安全?如何在网内建立可靠、可行的计算机信息安全策略?如何实时掌握信息流向及整个网络配置参数变化?针对以上问题,我们开发出该计算机网络信息安全安全防护与审计系统。西科分布式网络信息安全系统,综合利用 Windows 内核技术、访问控制技术、和审计 跟踪等技术手段, 对信息的存储、 传播和处理过程实施安全保护 , 以防止敏感信息泄漏、 违 规外传,并完整记录信息的流向 , 以便事后审计和追究泄密责任。本系统解决了目前用户最关心的上述主要的信息安全问题,适用于军队、研究所、政 府机关、企事业单位。与传统信息安全产品相比,本系统以“事前预防”为主,“事后追 查”为辅。由端口控制、网络控制、资源管控与信息审计等四个子系统组成。2.2 产品设计原则西科分布式网络信息安全系统是在详细分析了用户实际需求的基础上,经过完善的系 统规划和设计,综合系统的功能、结构、性能和安全因素,采用 PKI 技术、 Windows 内核 技术、 BIOS 调用技术、截获技术、网络控制技术等多种手段研发而成,达到有效 、 方便的 防护网络信息的目的。2.3 产品组成信息的泄漏是数据安全管理的最重要方面,西科分布式网络信息安全系统在信息存储 设备管理、 信息传输途径管理和信息使用管理三个层面上提供了防止信息泄漏的技术手段。 这些技术手段支持集中配置和管理,并支持基于安全策略的管理和执行。西科分布式网络信息安全系统由四个子系统组成,通过对四个子系统的针对性合理配 置,构建用户单位完整的内部网络信息安全体系。系统组成图如图 2-1:图 2-12.3.1 端口控制系统(Safe Port计算机端口是信息交换的最常用途径,即使网络非常流畅的环境,人们也习惯通过各 种端口实现计算机与外部的信息交换。随着技术的发展,各种传输方式的端口愈来愈多, 端口的传输能力愈来愈强,端口存储设备存容量愈来愈大。这些在方便信息交换的同时, 也带来了通过端口进行窃密泄密的巨大安全隐患。例如:通过高速大容量的 USB 活动硬 盘,可以在较短的时间内将一个局域网存储的重要信息数据全部拷贝走。Safe Port 是一种强制的、透明的端口控制系统。当该系统被安装后,计算机全部端口 (如 USB 、软驱、光驱、串口、并口、红外传输端口、 IEEE1394等端口和打印机、 Modem 、 网卡等将被有效控制,并彻底控制计算机的连接能力;根据用户保密需求,这些端口可 以控制为四种工作模式,即正常使用、禁止使用、保护输出、只读。对外来磁盘如软盘、 U盘、 活动硬盘提供强制性地全透明拷贝数据保护功能。 SafePort 端口控制系统控制计算机 上的全部端口,无论是拷文件,还是打印数据,不管在什么情况下,都处于可控状态。 系统功能:1 端口控制:可以控制(关闭和启用计算机的一切向外连接设备,包括 U 盘、软驱、 光驱、串口、并口、红外传输端口、 IEEE1394等端口和打印机、 Modem 、网卡等设 备,彻底控制计算机的连接能力。2 拷贝数据保护:在打开端口的情况下,对计算机的一切拷出文件进行转换,包括 安装本系统之后接新的新硬盘(防止通过挂接新硬盘窃获信息 。只有符合与被保 护文件逻辑相同的计算机才能看到该文件, 而对非保护数据按正常方式导入。 解决 了不切实际的禁止使用端口而带来工作不便,允许使用又难于控制的矛盾。3 服务器统一配置与控制:上述全部功能可以在服务器端配置完成,然后统一下发 到客户端。4 实时监控与审计:系统日志记录端口配置、修改信息;记录从端口输出文件信息; 记录安装和卸载信息。5 易用性和透明性:本系统充分考虑用户的使用,功能是透明的,用户根本感觉不 到它们的存在,并且不可修改、删除。6 其他:删除共享:通过配置,可以强制禁止用户共享文件和目录。设备识别:可以自动识别设备,并且只对存储设备进行控制,而非存储设备则可以正 常使用,给端口管理带来了方便。本系统对计算机端口的控制充分考虑到端口操作给计算机用户带来的巨大方便,提供 了对端口操作适合于用户需要的多种配置:保护使用、正常使用、只读、完全关闭。在防 止内部人员有意或无意将文件拷出造成信息泄露的同时,又不影响通过端口合法进行信息 交流的便利,这是目前其它类似产品所不具备的。本系统另外一个设计考虑是易用性和透明性:充分考虑用户的使用,功能透明,用户 根本感觉不到它们的存在,同时安装和维护通过服务器完成 , 实现了集中管理,分布生效 , 使用方便。典型应用1 单位整体使用, 保证内部之间正常使用U盘, 但U盘的文件拿出该单位无法使用, 因为文件被保护;2 在公共场合的计算机上使用,防止文件被拷走;3 在重要的台式机和服务器上使用,防止信息数据被盗。使用方法:本系统使用非常简单,客户端没有任何显示,一切在服务器端进行: 结构和原理:通过在 Windows 系统内核中加入过滤层,在文件拷出时自动转换成保护状态,在拷入 时自动解除保护状态。它的工作原理如下: 2.3.2 网络控制系统(Safe Net网络控制系统(Safe Net是一个分布式的网络控制系统。分布式网络控制对整个网络、子网以及所有内部各节点均进行完整的安全防护,不仅 防止来自外部的网络安全威胁,更多的防止内部网络网络攻击、间谍软件偷取机密信息以 及病毒传播。其体系结构包含如下部分:分布式网络控制:它是用于内部网与外部网之间,以及内部网各子网之间的防护。 与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整 个网络的安全防护体系就显得更加全面,更加可靠。主机的防护:用于对网络中的服务器和桌面机进行防护。这是传统边界式防火墙 所不具备的。它作用在服务器以及每一个客户端,可以对其访问和服务进行非常细致而完整地配置,以确保每个节点(包括服务器的安全。安全策略管理:分布式网络控制系统服务管理器负责总体安全策略的策划、管理、 分发及日志的汇总。这样整个网络防护系统就可进行智能管理,提高了整体安全 防护灵活性,具备可管理性。特点(1主机驻留 :驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还 是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服 务设定针对性很强的安全策略 , 把安全策略推广延伸到每个网络末端。(2嵌入操作系统内核 :为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的 安全监测核心引擎以嵌入操作系统内核的形态运行,把所有数据包进行检查后再提交操作 系统。(3安全策略强制配置,集中管理,分布下发,独立有效:安全策略由整个系统的管 理员在服务器端统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的 对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。整个系统 的安全检查机制分散布置在整个分布式网络控制体系中。服务器下发到客户端的安全策略 无论与服务器是否连接,一直保持独立有效。(4 增强了系统安全性:具有对主机的入侵检测和防护功能, 加强了对来自内部攻击 防范,可以实施全方位的安全策略。分布于整个内网的分布式网络控制系统使用户可以方 便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的 安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再 有任何区别。分布式网络控制系统还可以使企业避免发生由于某一终端的入侵而导致向整 个网络蔓延的情况发生,同时也使通过公共帐号登录网络的用户无法进入那些限制访问的 计算机系统,防止内部人员通过网络泄漏机密信息,也防止外部人员通过网络盗走机密信 息。(5方便实施主机防护策略 , 对网络中的各节点可以起到安全的防护。(6扩展性强。主要功能采用软件形式,功能配置更加灵活:(1 Internet 访问控制使用“ Internet 访问协议”,控制该工作站或工作站组在指定的时间段内是否允许 /禁止访问模板或网址列表中所规定的 Internet Web服务器,某个用户可否基于某工作站访 问 www 服务器,同时当某个工作站 /用户达到规定流量后确定是否断网。(2应用访问控制通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、 协议的逐层包过滤与入侵监测,控制来自局域网 /Internet的应用服务请求。(3服务控制对服务器和每个客户端都能进行专门的保护,将访问权限只赋予服务器上的应用所使 用的必要的端口及协议,如 HTTP 、 HTTPS 、 Port 80、 Port 443等。(4网络状态监控实时动态报告当前网络中所有的用户登陆、 Internet 访问、内网访问、网络入侵事件 等信息。(5攻击防御抵御来自网络内部以及来自 Internet 的黑客攻击,以及防止木马、病毒在网络内部的 传播。(6日志管理对工作站协议规则日志、用户登陆事件日志、用户 Internet 访问日志、入侵检测日志 的记录与查询分析。(7系统工具包括系统参数的设定、规则等配置信息的备份与恢复。2.3.3 资源管控系统(Safe Reso功能特点:(1自动搜索详细的 IT 资产:对所辖所有计算机 IT 物理资产实时扫描、记录、管理、监 控, 包括 CPU 、 主板、 内存大小、 显卡、 硬盘型号和容量, 以及移动存储设备 (如 USB 等;(2记录并管理已安装的软件,包括:BIOS 系统、操作系统、应用软件以及安装的日期、 版本;(3完善的报警功能:当上述 IT 资产或软件资源改变,将实时上传到服务器,并以日志及警报的方式及时通知管理人员;(4快捷、方便的查询功能:支持多种组合条件的查询方式,如按照所属组、 IP 地址段、 部门、机器名、内存大小、 CPU 、硬盘容量等资产信息;(5定义各种查询条件,一次定义,随时使用,并有强大的软硬件资产统计功能。(6 在线管理和离线管理:在线管理是指对当前打开的资产信息数据库进行各种方式的查 询、统计;离线是对备份数据库导入到本资产管理环境下,对历史数据进行查询、统 计与管理;(7 能够对客户端运行软件和进程进行监控:能够禁止不允许运行的软件和进程运行 (即 使改名也同样能够禁止 ;能够防止病毒、木马、黑客软件通过盗用 windows 各目录 下文件名从而自动加载执行,避过杀毒软件的检查和清除。2.3.4 内网信息审计(Audit 实时的内部信息审计、分析、跟踪系统,将记录整个网络中计算机数据及参数变化及 信息流向,包括对系统管理操作的日志记录,系统在客户机能实时将本机上的操作日志定 期发送到控制中心,并进行保护,只有具有权限的审计员才能查看,从而保证主机的安全 存储,同时记录所有终端从端口输出拷贝的信息。1主机信息获取获取受控主机上的各种详细信息,对计算机的硬件信息进行记录,发生改变(增加或 减少时实时告警。获取主机信息包括用户名、运行时间、 IP 、 MAC 地址、策略应用情况 等;受控主机资源获取,包括 CPU 、内存、主板、网卡、显卡、硬盘、声卡等。 ;2监控主机运行进程监控:记录进程创建和删除,以及进程运行信息系统服务:记录服务启动、服务停止的相关信息;文件删除和重命名:记录删除文件的文件名和相关信息,重命名文件的源路径、目标 路径以及其他相关信息;3日志信息管理、审计日志信息产生后都会保存在数据库中,安全审计员能够通过输入时间、主机号等查询 条件,对所有日志进行分类查找,指导安全审计员对受控主机的行为进行审计分析。 4角色管理系统分系统管理员和安全审计员两个角色。系统管理员定确定各个主机的网络控制策 略、端口控制策略以及其策略更改等,但无权浏览或更改审计跟踪日志;安全审计员只能 浏览审计跟踪日志,但无权下发或更改各种策略。3 产品功能3.1 信息的防泄漏1 支持内网每台计算机认证、授权和监控;2 支持不同类型计算机外设使用的许可管理,包括诸如 USB、红外、串口、 1394、光驱、 软驱等类型设备;3 支持通过网络可能发生信息泄漏途径的控制措施,可以实现对应用协议、服务端口以 及地址的许可控制和监控;3.2 外部设备接口管理1 通过在 Windows 系统内核中加入过滤层,在文件拷出时自动保护,在拷入时自动解除, 并对计算机外围所有的端口进行策略配置与控制,包括安装本系统之后接的新硬盘(防止 通过挂接新硬盘窃取机密信息 。2 端口控制:可以控制(关闭和启用计算机的一切向外连接设备,包括 U 盘、软驱、 光驱、串口、并口、红外传输端口、 IEEE1394等端口和打印机、 Modem 、网卡等设备,彻 底控制计算机的连接能力;3 端口可以设置为禁止使用(关闭端口、拷贝数据保护、正常使用、只读四种状态;4 统一控制:上述全部功能的安全策略在服务管理器配置, 下发给每个客户端强制执行, 不须在客户端一一配置。3.3 网络控制1 本系统的网络防护是基于采用分布式控制技术,为客户提供网络安全服务。2 支持基于 IP 地址、端口号、服务协议、 MAC 地址的访问控制;可通过 IP 地址和 MAC 地址的绑定,防止非法 IP 地址接入。3 保护计算机在正常使用网络时不会受到恶意的攻击,提高了网络安全属性;同时,为 方便管理,所有网络控制的安全策略由统一的中央策略管理服务器进行设置和维护,服务 器由系统管理员专人监管。4 根据权限可禁止常见的网络传输。3.4 内网管控与审计系统实时内部信息审计、 分析、 跟踪, 记录整个网络中计算机数据及参数变化及信息流向, 包括客户端的资源记录, 客户端操作日志记录,以及从计算机端口输出的所有文件信息。 4 产品特点4.1 集中管理、分布防护采用 C/S集中安全管理结构,实现了分布式防护、集中式分级管理功能。计算机的管 理模式符合中国现行企事业单位的组织与管理体系。4.2 内部系统信息防护体系防止内部信息从网络、计算机各种端口、打印机以及移动存储设备等各种可能途径泄 漏出去。4.3 内部安全策略管理机制支持网络管理员对子网的划分与外网的隔离, 利用分组的工作模式集中式管理和审计, 极大提高了管理效率,并可以给每个具体的对象(计算机或者组指定继承属性,从而实 现高效而灵活的管理功能。4.4 系统自身安全保障体系基于 PKI 的安全架构进行设计和构建,系统本身具有优越的安全保障体系,在框架内 分别对管理服务器、客户端管理代理、数据库以及内部各组件之间的通信信道进行了全面 的保护。系统自身通过与操作系统紧密耦合并采用动态数据隐藏技术、动态反跟踪技术, 确保系统自身不被卸载、删除或绕过。5 体系结构西科分布式网络信息安全系统是 C/S结构,服务管理器通过客户端管理来实现对整个 网络